Posté le janvier 20, 2021 à 15:22
UN GROUPE DE HACKERS CHINOIS DÉCOUVERT EN TRAIN DE VOLER LES DONNÉES DES PASSAGERS D’UNE COMPAGNIE AÉRIENNE
Un récent rapport du NCC Group et de sa filiale Fox-IT a révélé que des acteurs malveillants infiltrent les serveurs des compagnies aériennes pour voler les données des passagers. Selon le rapport, les acteurs malveillants seraient parrainés par la Chine.
La campagne de reconnaissance, baptisée Chimera, dure depuis trois ans, mais ils ont été découverts l’année dernière après avoir attaqué des entreprises de semi-conducteurs.
Bien que le rapport n’ait pas révélé pourquoi les hackers s’intéressent aux données des passagers des compagnies aériennes, on sait que les acteurs malveillants peuvent suivre certaines personnes ciblées lorsqu’ils obtiennent des informations sur les passagers.
Les acteurs malveillants opèrent à l’échelle mondiale
Les chercheurs ont également déclaré que le groupe de hackers ne base pas son attaque uniquement en Asie, car ils ont été découverts en train d’attaquer d’autres organisations dans d’autres régions.
Les menaces pour la sécurité auxquelles les organisations sont confrontées aujourd’hui ont augmenté à la fois en intensité et en portée. Lorsque la sécurité de l’information n’est pas gérée avec soin, des millions, voire des milliards de dollars, peuvent être mis en danger.
Dans le rapport de la Black Hat Presentation sur les activités des hackers l’année dernière, il est question d’une série d’attaques coordonnées contre l’industrie taïwanaise des supraconducteurs.
Mais le rapport de la Fox-IT et du NCC Group publié la semaine dernière a révélé que les activités de piratage du groupe se sont étendues plus qu’on ne le pensait initialement, après avoir ciblé l’industrie aérienne.
Selon le rapport, les deux entreprises ont observé cet acteur malveillant au cours de diverses missions de réponse aux incidents effectuées entre octobre 2019 et avril 2020.
Les attaques ont ciblé des compagnies aériennes et des entreprises de semi-conducteurs dans divers endroits géographiques, et pas seulement en Asie, ont également noté les deux entreprises.
Les acteurs malveillants se sont cachés à l’intérieur des réseaux pendant trois ans au maximum dans les systèmes de certaines victimes avant d’être découverts.
Les données utilisateur sont extraites du RAM
Les deux attaques contre l’industrie des semi-conducteurs et les passagers des compagnies aériennes ont des motivations différentes. Pour les premiers, les acteurs malveillants recherchaient du capital intellectuel qu’ils pouvaient voler.
Cependant, l’attaque contre l’industrie des compagnies aériennes avait un objectif différent.
Le but de l’attaque semble être le vol des données des dossiers passagers (PNR), selon les deux entreprises.
Cependant, les hackers n’ont peut-être pas obtenu les données PNR auprès des individus par le même procédé. Une observation claire que les sociétés ont soulignée est la récupération des données PRN en utilisant plusieurs fichiers DLL personnalisés.
Le rapport conjoint décrit également la méthode opérationnelle typique du groupe Chimera. Selon le rapport, le modus operandi du groupe commence généralement par la collecte de données de connexion d’utilisateurs volées, reçues des domaines publics et postées par d’autres hackers.
Ces données sont ensuite utilisées pour des attaques par « vaporisation de mots de passe » (password spraying) et par bourrage d’identifiants (ou credential stuffing) contre les services des employés de leurs cibles. Après avoir enregistré le logiciel malveillant dans le système cible, les acteurs malveillants recherchent les identifiants de connexion des systèmes d’entreprise comme les applications VPN et les systèmes Citrix.
Après avoir pris le contrôle du serveur, les acteurs malveillants utilisent Cobalt Strike pour manipuler autant de systèmes possibles.
Selon les sociétés de sécurité, les acteurs malveillants ont été très minutieux et patients dans leur attaque. Ils ont continué à chercher jusqu’à ce qu’ils puissent trouver des moyens de se déplacer à travers des réseaux segmentés pour accéder aux systèmes qui les intéressent.
Après avoir collecté les données ciblées, ils envoient les données à un service de cloud public tel que Google Drive, Dropbox ou OneDrive, puisque le trafic provenant de ces services ne sera ni bloqué ni inspecté.
Les hackers ciblent des personnes importantes
Ce n’est pas la première fois que des groupes de hackers parrainés par l’État ciblent les compagnies de téléphone, les chaînes d’hôtels ou les compagnies aériennes à la recherche de données.
Ils s’intéressent à ces organisations parce qu’ils veulent surveiller les communications et les mouvements des personnes qui les intéressent.
Dans le passé, des groupes de hackers tels qu’APT41 ont été impliqués dans des activités de piratage similaires. Le groupe a ciblé les opérateurs de télécommunications en utilisant un logiciel malveillant spécial qui peut voler les messages SMS.
Cette attaque semble s’inscrire dans le cadre de la campagne chinoise de traque de la minorité ouïghoure, qui tente de surveiller les déplacements des voyageurs ouïghours.
De plus, les hackers parrainés par l’État chinois sont impliqués dans le piratage de Mainnet, car ils ont volé de nombreuses informations sur les réservations d’hôtel.
Cependant, les hackers Chinois ne sont pas les seuls hackers soutenus par l’État qui sont actuellement à l’origine de plusieurs violations. Le groupe de hackers iranien APT39 a également été accusé de plusieurs autres attaques.